검색

암호 보안

리포지토리 및 CI/CD 파이프라인의 모든 파일에서 노출되고 취약한 암호를 찾아 보호하기 위한 풀 스택의 다차원적 접근 방식입니다.
데모 요청
secrets-gitlab

개발자는 다른 클라우드 서비스와의 안전한 통신을 위해 암호를 사용하여 애플리케이션을 활성화합니다. GitHub와 같은 버전 제어 시스템(VCS)의 파일에 암호를 저장하는 것은 안전하지 않으며, 익스플로잇될 수 있는 잠재적 취약점을 초래합니다. 이는 개발자가 암호를 소스 코드에 남겨두는 경우에도 종종 발생합니다. 암호가 리포지토리에 커밋되고 나면 해당 내역에 저장되고 모든 사용자가 해당 키에 쉽게 액세스할 수 있습니다. 특히 리포지토리 콘텐츠가 공개 상태인 경우 위협 행위자가 해당 리소스를 쉽게 찾아 이용할 수 있습니다.

대부분의 도구는 애플리케이션 수명 주기에서 단 한 번의 단계에서만 선택적으로 암호를 스캔하여 특정 유형의 암호를 모두 놓칠 수 있습니다. Cortex® Cloud는 어떤 암호도 실수로 노출되지 않도록 보장하는 동시에 오탐을 최소화하고 개발 속도를 유지합니다.

하드 코딩된 암호는 클라우드 네이티브 개발에서 흔합니다.

하드 코딩된 자격 증명은 개발자가 더 쉽게 사용하고 액세스할 수 있지만 모범 사례는 아닙니다. 이는 매트릭스형 개발 조직과 클라우드 기반 리포지토리 내에서 특히 위험합니다. 안타깝게도, 이러한 자격 증명은 암호가 포함된 리포지토리의 41% 이상에서 흔히 사용됩니다.

공개 노출은 리스크를 더 증폭시킵니다.

암호는 종종 VCS나 레지스트리의 공개 리포지토리에 노출될 수 있습니다. 또한 소스 코드, IaC, CI/CD 구성 파일 등에 직접 추가된 모든 암호는 VCS에서 표시되거나 빌드 로그에 우연히 노출될 수 있습니다.

사일로화된 툴링은 커버리지 간극을 유발합니다.

스탠드얼론 암호 스캐너는 종종 빌드와 런타임 전체에 대한 일관된 커버리지가 부족합니다. 보다 광범위한 CNAPP 전략에 포함되지 않으면 조직은 리스크를 완전히 통제하기 어렵습니다.

개발자는 Cortex Cloud를 사용해 빌드와 런타임에 암호가 노출되는 것을 더 원활하게 예방할 수 있습니다.

코드, 빌드, 구축 및 런타임 전체에 DevOps 도구를 통합함으로써 Cortex Cloud는 전체 개발 수명 주기 전반의 노출된 암호를 지속적으로 스캔합니다. 시그니처 기반 정책 라이브러리와 미세 조정된 엔트로피 모델을 모두 결합하는 강력한 다차원적 접근 방식을 통해 Cortex Cloud는 IaC 템플릿, 골든 이미지 및 Git 리포지토리부터 거의 모든 파일 형식의 암호를 식별합니다.
  • 여러 탐지 방식으로 임의의 문자열 또는 비밀번호와 같은 복잡한 암호를 식별합니다.
  • 리스크 요인을 통해 암호의 컨텍스트가 제공되어 우선순위 설정과 복구가 원활해집니다.
  • 개발자 도구 및 워크플로에 네이티브 통합됩니다.
  • 100개 이상의 시그니처 라이브러리
    100개 이상의 시그니처 라이브러리
  • 미세 조정된 엔트로피 모델
    미세 조정된 엔트로피 모델
  • 공급망 시각화
    공급망 시각화
  • 폭넓은 커버리지
    폭넓은 커버리지
  • VCS 및 CI 파이프라인에 대한 커밋 전 탐지
    VCS 및 CI 파이프라인에 대한 커밋 전 탐지
  • 실행 중인 워크로드 및 앱의 탐지
    실행 중인 워크로드 및 앱의 탐지
솔루션

암호 보안에 대한 개발자 중심의 다차원적 접근 방식

정밀한 탐지

정규식을 사용한 암호(액세스 토큰, API 키, 암호화 키, OAuth 토큰, 인증서 등)는 가장 흔히 식별됩니다. Cortex Cloud는 100개 이상의 시그니처를 활용하여 알려지고 예측 가능한 식을 통해 폭넓은 범위의 암호를 탐지하고 이를 알립니다.

  • 방대한 커버리지

    100개 이상의 도메인별 암호 탐지기가 빌드와 런타임에서 정밀한 알림을 보장합니다.

  • 폭넓고 심층적인 스캔

    리포지토리에 있는 모든 파일의 암호와 통합 전체의 버전 기록을 스캔합니다.

정밀한 탐지

미세 조정된 엔트로피 모델

모든 암호가 일관되거나 식별 가능한 패턴은 아닙니다. 예를 들어, 임의의 문자열로 된 사용자 이름 및 비밀번호는 시그니처 기반 방법으로 탐지할 수 없는데, 임의의 형태다 보니 "왕국의 열쇠"가 노출되거나 공개적으로 액세스할 가능성을 남기기 때문입니다. Cortex Cloud는 미세 조정된 엔트로피 모델을 통해 시그니처 기반 탐지를 강화합니다.

  • 미세 조정된 엔트로피 모델

    문자열 컨텍스트를 활용하여 복잡한 암호 유형을 정밀하게 식별하는 미세 조정된 엔트로피 모델을 통해 오탐을 제거합니다.

  • 독보적인 가시성

    클라우드 개발자가 사용하는 방대한 암호 환경 전체에 대한 포괄적인 가시성과 제어 기능을 확보합니다.

미세 조정된 엔트로피 모델

개발자 피드백

개발자는 다음과 같은 몇 가지 다양한 방법으로 노출되거나 취약한 암호와 관련된 리스크를 분석할 수 있습니다.

  • 프로젝트

    개발 워크플로의 네이티브 통합 및 규정을 준수하지 않는 파일 내에서 탐지된 암호를 원활하게 표면화합니다.

  • 공급망

    공급망 그래프에 소스 코드 파일 노드가 표시됩니다. 종속성 트리에 대한 자세한 조사를 통해 개발자는 암호 노출의 근본 원인을 식별할 수 있습니다.

  • 풀 요청 코멘트

    사용자는 풀(pull) 요청 스캔의 일부로 잠재적으로 유출된 암호를 발견할 수 있으며, 이를 쉽게 제거할 수 있습니다.

  • 커밋 전 후크 및 CI 통합

    커밋 전 후크를 활용하여 풀 요청이 열리기 전에 암호가 리포지토리로 푸시되는 것을 방지합니다.

개발자 피드백

추가적인 애플리케이션 보안 기능

IaC(Infrastructure as Code) 보안

자동화된 IaC 보안을 개발자 워크플로에 포함

자세히 알아보기

소프트웨어 구성 분석(SCA)

정확성이 높고 컨텍스트를 인식하는 오픈 소스 보안 및 라이선스 규정 준수

자세히 알아보기

소프트웨어 공급망 보안

CI/CD 파이프라인을 강화하고, 공격 표면을 줄이고, 애플리케이션 개발 환경을 보호하세요.

자세히 알아보기

IaC(Infrastructure as Code) 보안

Terraform, CloudFormation, ARM, Kubernetes 및 기타 IaC 템플릿에서 구성 오류를 찾아서 수정

자세히 알아보기

최신 소식, 이벤트 초대장 및 위협 알림 받기

© Copyright 2025 팔로알토네트웍스코리아 유한회사 Palo Alto Networks Korea, Ltd. All rights reserved. 여러 가지 상표에 대한 소유권은 각 소유자에게 있습니다. 사업자 등록번호: 120-87-72963. 대표자 : 제프리찰스트루 서울특별시 서초구 서초대로74길 4, 1층 (삼성생명 서초타워) TEL: +82-2-568-4353